Beim Löschen von TPM werden Sie nicht nach einem neuen Kennwort gefragt, sondern es wird nach dem alten Kennwort gefragt

15

Ich habe kürzlich mein TPM gelöscht (Dell e7240, Windows 10). Während des Vorgangs haben Bios oder Windows zu keinem Zeitpunkt nach einem neuen TPM-Kennwort gefragt. (Und zu keinem Zeitpunkt, seit ich diesen Laptop gekauft habe, habe ich nach bestem Wissen ein TPM-Passwort festgelegt.) Ich habe versucht, sowohl über Windows (mit TPM.MSC) als auch über Bios zu löschen, und bei beiden Methoden wurde ich nicht gefragt für ein neues Passwort.

TPM.MSC meldet, dass das TPM "einsatzbereit" ist. Wenn ich jedoch auf "Eigentümerkennwort ändern" klicke, wird nach dem alten Kennwort gefragt, obwohl ich das TPM gerade gelöscht habe.

Ist es möglich, das TPM-Passwort zu löschen?

cfp
quelle
Haben Sie "Change owner password" ausprobiert, während Sie das Feld "old password" leer gelassen haben?
Nathan.Eilisha Shiraini
Ja. Das (leere) Passwort wird nicht akzeptiert.
CFP
Ich habe gerade auch mein TPM gelöscht. Beim Neustart sagte Windows etwas zu dem Effekt "Windows kann Ihren Schlüssel sicher halten, so dass Sie sich nicht daran erinnern müssen". Ich möchte diesen Schlüssel aus einem bestimmten Grund!
Vaindil
Klingt so, als hätten Sie es gelöscht, aber nicht neu initialisiert. Vielleicht hilft das: technet.microsoft.com/en-us/itpro/windows/keep-secure/…
lightwing
2
Gemäß diesem Microsoft - Artikel , OSManagedAuthLevel=2bedeutet delegiert. Sie können versuchen, es auf 4 (Full) zu setzen und neu zu starten, und dann das TPM erneut löschen. Lesen Sie die relevanten Teile des Artikels.
Harrymc

Antworten:

10

Ich hatte das gleiche problem Folgendes habe ich nach langem Suchen herausgefunden: In späteren Versionen von Windows 10 können Sie das TPM-Besitzerkennwort standardmäßig nicht festlegen, speichern oder ändern. Das Kennwort wird von Windows generiert und von Windows zum Konfigurieren des TPM verwendet. Anschließend wird es verworfen. Auf diese Weise kann niemand das TPM manipulieren, nachdem es aktiviert wurde. In der Tat existiert das Besitzerkennwort nicht mehr. Sie können diese Sicherheitsfunktion deaktivieren, indem Sie einen Registrierungswert ändern, das TPM löschen und einen Neustart durchführen. Danach können Sie das TPM-Besitzerkennwort festlegen und ändern. Lesen Sie diesen Artikel: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Nachdem ich den Artikel gelesen hatte, entschied ich mich, die Dinge so zu belassen, wie sie sind, mit der neuen Windows-Standardeinstellung (dh keine Möglichkeit, auf das TPM-Besitzerkennwort zuzugreifen oder es zu ändern). Sie benötigen das TPM-Besitzerkennwort nur, wenn die PC-Sicherheit in einem Unternehmenssetup zentral verwaltet wird und ein Sicherheitsadministrator remote auf das TPM zugreifen muss. In einer eigenständigen Anwendung ist ein Fernzugriff auf das TPM nicht erforderlich oder wünschenswert. Sie können alles tun, was Sie benötigen, ohne das TPM-Kennwort zu verwenden, wenn Sie physischen Zugriff auf den PC haben.

James Tattersall
quelle
Der verlinkte TechNet-Artikel hat alles geklärt. Vielen Dank! Schön, zumindest eine klare Antwort zu haben.
cfp
@cfp ... Wenn Sie eine Chance bekommen, bestätigen Sie bitte, was Sie genau getan haben, um Ihr Problem zu beheben. Ich war nur neugierig, ob dies die Dinge aufklärt oder ob es dir tatsächlich erlaubt, das zu vervollständigen, was du sonst nicht fertig bekommen konntest. Und wenn Sie in der Lage waren, das zu vervollständigen, was Sie nicht anders waren, dann sind Sie einfach gespannt, was Sie von diesem Beitrag speziell getan haben, um Ihre Anfrage zu lösen. Ich denke, dass ein Teil des Beitrags in der Antwort äußerst hilfreich wäre, wenn Sie ihn tatsächlich angewendet und bestätigt hätten, dass Ihr Problem dadurch behoben wurde.
Pimp Juice IT
In dem Artikel wurde klargestellt, dass es keinen Sinn macht, das TPM-Kennwort festzulegen. Ich habe nicht versucht, seine Schritte zu befolgen, um die manuelle Einstellung zu ermöglichen, da ich davon überzeugt war, dass dies keinen Nutzen bringt. Ich stimme der Frage des Beantworters voll und ganz zu: "Nach dem Lesen des Artikels habe ich beschlossen, die Dinge so zu belassen, wie sie sind, mit der neuen Windows-Standardeinstellung".
Vgl.
Vielen Dank. Diese Antwort hat die Dinge für mich wirklich geklärt. Für einen sicheren PC bleibe ich bei dem zufällig erstellten unbekannten Passwort.
Brainski
Sie können die automatische Initialisierung auch deaktivieren, wenn Sie dies selbst mit dem Disable-TpmAutoProvisioningBefehl powershell tun möchten. technet.microsoft.com/en-us/library/jj603114.aspx
Tom Jenkinson
7

PowerShell Zurücksetzen von TPM

Sie können einige der PowerShell-TPM-Befehle testen, indem Sie sie über eine PowerShell-Eingabeaufforderung mit erhöhten Rechten (als Administrator ausführen) ausführen, um die TPM-Einstellungen zurückzusetzen.

Clearing

Weitere Informationen finden Sie unter Clear-Tpm und Set-TpmOwnerAuth. Nachfolgend sind einige Beispiele aufgeführt, um einen Versuch zu starten :

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Standardwert

Möglicherweise möchten Sie auch Initialize-Tpm überprüfen und beachten, dass das Cmdlet versucht, den Wert aus der Registrierung zu lesen , wenn Sie keinen Berechtigungswert für den Besitzer angeben. Dies kann dazu führen, dass standardmäßig gelesen und festgelegt wird, wovon Sie nichts wissen dieser Wert.

Neuer Wert

Möglicherweise möchten Sie den Befehl ConvertTo-TpmOwnerAuth ausführen , um die neue Besitzerkennphrase explizit anzugeben. Binden Sie dies also entsprechend in Ihren Prozess ein:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Konfigurieren lokaler Gruppenrichtlinieneinstellungen für BitLocker

Wie ich in einem Kommentar unten vor ein paar Tagen bereits ausgeführt habe, werden im Folgenden die Schritte zum Einrichten der TPM-Verschlüsselung auf PCs ohne Domänenbeitritt in einer der von mir unterstützten Umgebungen beschrieben.

HINWEIS: Bitte beachten Sie, dass einige dieser Optionen möglicherweise danach neu gestartet werden müssen, was ich nicht ausdrücklich erwähnt habe, aber ich erinnere mich nicht genau an welche, außer wo ich das erwähnt habe. Wenn es also neu gestartet wird oder Sie nach dem Festlegen einer Option einen Neustart durchführen müssen, ist das normal. Ich habe es nur nicht erwähnt.

Während eines Neustarts erkennt der Computer möglicherweise eine TPM-Sicherheitsänderung und fordert Sie auf, die Änderungen zu akzeptieren oder abzulehnen, um das TPM-Gerät zu aktivieren, zu aktivieren oder Eigentümer zu werden. Daher möchten Sie diese Änderungen akzeptieren, wenn Sie nach einem der Neustarts eine solche Aufforderung erhalten, die den unten aufgeführten Änderungen entspricht.

  1. Gehen Sie zu Start > Ausführen > geben Sie gpedit.msc ein und drücken Sie Enterund navigieren Sie dann zu # 6, wie im folgenden Screenshot gezeigt

    Bildbeschreibung hier eingeben

  2. Sie möchten die Einstellungen an der obigen Position Nr. 6 mit den Werten aus den beiden folgenden Screenshots vornehmen

    Bildbeschreibung hier eingeben

    Bildbeschreibung hier eingeben

  3. Gehen Sie als nächstes zu Systemsteuerung > Bitlocker-Laufwerkverschlüsselung > wählen Sie BitLocker einschalten und drücken Sie dann Nextim Fenster wie im folgenden Screenshot

    Bildbeschreibung hier eingeben

  4. Auf dem Vorbereiten der Antrieb für die BitLocker - Fenster drückenNext

  5. Wenn die Laufwerkvorbereitung abgeschlossen ist, klicken Sie auf die Restart NowOption

  6. Melden Sie sich nach dem Neustart wieder auf dem Computer an, und wählen Sie die Option aus, wenn das Setup- Fenster für BitLocker Drive Encryption angezeigt wirdNext

  7. Wählen Sie die Option aus, wenn das Fenster TPM-Sicherheitshardware einschalten auf Ihrem Bildschirm angezeigt wirdRestart

  8. Melden Sie sich nach dem Neustart wieder auf dem Computer an, und wählen Sie die Option aus, wenn das Setup- Fenster für BitLocker Drive Encryption angezeigt wirdNext

  9. Sie werden dann aufgefordert, eine PIN einzugeben. Geben Sie die PIN in beide Felder ein (siehe Abbildung unten) und drücken Sie die Set PINOption

    Bildbeschreibung hier eingeben

  10. Wenn das Fenster Wie möchten Sie Ihren Wiederherstellungsschlüssel sichern ? Angezeigt wird, müssen Sie die Option In Datei speichern und anschließend die NextOption drücken . Sie müssen sicherstellen, dass Sie dies auf einem USB-Stick ablegen, diesen Wiederherstellungsschlüssel darauf speichern und ihn später an eine andere Stelle kopieren, z. B. auf ein Netzwerklaufwerk usw.

    Bildbeschreibung hier eingeben

  11. Unter Wählen Sie aus, wie viel von Ihrem Laufwerk verschlüsselt werden soll , habe ich in meinem Fall nur den für neue PC-Setups verwendeten Speicherplatz zum Verschlüsseln ausgewählt. Sie können jedoch hier die für Ihre Anforderungen am besten geeignete Option auswählen und dann die NextOption drücken

    Bildbeschreibung hier eingeben

  12. Im Fenster Wählen Sie aus, welchen Verschlüsselungsmodus Sie verwenden möchten, aktivieren Sie die entsprechende Option für Ihre Umgebung. Die Option, die ich in dieser Umgebung auf meiner Seite auswähle, wird im folgenden Screenshot angezeigt

    Bildbeschreibung hier eingeben


Lesen Sie auch So löschen Sie den TPM-Chip von früheren Eigentumsnachweisen und befolgen Sie diese Anweisungen Schritt für Schritt, falls Sie dies noch nicht getan haben.

So löschen Sie den TPM-Chip von früheren Eigentumsrechten

Dieser Artikel enthält Informationen zum Zurücksetzen des TPM-Chips und zum Löschen aller vorherigen Eigentümerdetails .

Sie können DDPA- oder DCP-Anmeldeinformationen auf Ihrem System nicht zurücksetzen

Beim Versuch, die DDP | ​​A- oder DCP- Anmeldeinformationen zurückzusetzen, kann ein Problem auftreten , bei dem Sie zur Eingabe eines TPM-Besitzerkennworts (Trusted Platform Module) aufgefordert werden.

Wenn Sie das TPM-Passwort verloren haben, kann der TPM-Chip unter Windows gelöscht werden .

Hinweis: Dadurch wird der TPM-Anmeldeinformationsspeicher vollständig gelöscht, einschließlich Festplattenverschlüsselung, Fingerabdrücken, Smartcards usw. Überprüfen Sie, welche Sicherheitsgeräte, die Sie verwenden, möglicherweise betroffen sind. Stellen Sie sicher, dass Sie ein Windows-Kennwort eingerichtet und für die Anmeldung eingerichtet haben.

So setzen Sie den TPM-Chip zurück und löschen ihn

Das erste, was Sie tun müssen, ist, alle Pre-Boot-Passwörter in der DDP | ​​A- Konsole zu entfernen .

Dies hat keine Auswirkungen auf das Windows-Kennwort.

Sie müssen in der Lage sein, wie in jedem Szenario mit Anmeldeinformationen zu validieren , und Sie müssen Administrator dieses Systems sein, um diese Funktion ausführen zu können.

  1. Klicken Sie auf Start . Geben Sie in das Feld Search \ Run tpm.msc ein, und drücken Sie die [ EINGABETASTE] .

  2. Klicken Sie rechts im Abschnitt Aktionen auf TPM löschen .

  3. Im löschen Hardware des TPM Security Box, überprüft ich nicht das TPM - Besitzerkennwort ein und klicken Sie auf OK .

  4. Sie werden aufgefordert, den Computer neu zu starten. Unmittelbar nach dem Dell POST- Bildschirm werden Sie aufgefordert, eine Taste (normalerweise F10 ) zu drücken , um TPM zu löschen . Drücken Sie diese Taste .

  5. Nach dem Neustart des Systems werden Sie aufgefordert, den Computer neu zu starten und die Anweisungen zum Aktivieren von TPM zu befolgen . Neustart.

  6. Direkt nach dem Dell POST- Bildschirm werden Sie aufgefordert, eine Taste zu drücken, um TPM zu aktivieren. Drücken Sie diese Taste ( normalerweise F10 ).

    Hinweis: Wenn Sie kein TPM verwenden, drücken Sie die ESC- Taste.

  7. Sobald Sie wieder auf dem Desktop sind, wird entweder der TPM-Setup-Assistent angezeigt, in dem Sie ein TPM-Besitzerkennwort eingeben können, oder Sie können Eigentümerkennwort ändern auswählen .

Sie können jetzt DDP | ​​A-Anmeldeinformationen über die DDP | ​​A-Konsole löschen .

Weitere Informationen finden Sie im folgenden Artikel:

Quelle

Pimp Juice IT
quelle
Dies wurde in den Kommentaren besprochen (Ich bin nicht OP, aber ich habe das Kopfgeld dafür ausgesetzt; ich kann die Frage nicht bearbeiten). Ich kann diese Schritte ausführen, aber Windows hat mir nie die Möglichkeit gegeben, das Besitzerkennwort festzulegen. Nachdem das TPM gelöscht und Windows neu gestartet wurde, wird ein Fenster geöffnet, in dem Sie darüber informiert werden, dass das TPM gelöscht wurde und "Windows das Besitzerkennwort für [mich] speichern kann, damit [ich] es nicht muss".
Vaindil
Ich habe das TPM mit gelöscht Clear-Tpmund das ging gut. Vor dem Neustart lief ich auch Disable-TpmAutoProvisioning. Nach dem Neustart war das TPM noch nicht bereit. Ich rannte dann Initialize-Tpm -AllowClear -AllowPhysicalPresence. Der Befehl dauerte einen Moment, dann wurde zurückgegeben, dass das TPM bereit ist. tpm.mscsagt auch, dass es fertig ist. Ich wurde nie nach einem Besitzerkennwort gefragt.
Vaindil
Die Flags -ForceClearAllowedund des Beispiels -PhysicalPresenceAllowedsind beide ungültig, und ein Kommentar zum Artikel besagt dies ebenfalls.
Vaindil
@vaindil Ich habe andere PowerShell-Cmdlets hinzugefügt, um eine Lösung zu finden, aber es wäre hilfreich zu wissen, was Ihr Endziel ist: Sie möchten ein neues Besitzerkennwort festlegen, es vollständig deaktivieren oder was? Ich habe zusätzliche PowerShell-Cmdlets hinzugefügt, um das Besitzerkennwort in einen neuen Wert zu ändern.
Pimp Juice IT
Initialize-Tpmscheint keine Möglichkeit zu haben, das neue Besitzerkennwort wie von Ihnen angegeben anzugeben. ConvertTo-TpmOwnerAuthlegt eigentlich nichts fest - es konvertiert nur eine Zeichenfolge in einen Berechtigungswert für den Eigentümer (was auch immer das bedeutet).
Vaindil
3

Ich vermute, es ist ein Fehler mit Windows 10. Ich hatte genau das gleiche Problem wie OP. Hier sind meine Ergebnisse. Ich habe zwei PCs, A und B, beide haben die TPM-Spezifikation 1.2; beide haben Bitlocker aktiviert. A ist Windows 10 1607, B ist Windows 10 1511.

Verwenden Sie TPM.MSC für A. Ich kann TPM löschen, ohne das Besitzerkennwort anzugeben, für alle anderen Aktionen ist jedoch ein Besitzerkennwort erforderlich. Für B ist jedoch für keine dieser Aktionen ein Besitzerkennwort erforderlich.

Auf PC A löschte ich TPM über das BIOS, startete neu und überprüfte noch einmal, ob der TPM-Status deaktiviert und im BIOS nicht enthalten war. Starten Sie Windows über das Wiederherstellungskennwort (stellen Sie sicher, dass Sie Ihr Wiederherstellungskennwort haben, wenn Sie dies auf Ihrem PC versuchen), bereiten Sie TPM über TPM.MSC vor und folgen Sie dem Assistenten Automatisch Besitzerkennwort merken, bla bla ... "(genau wie vaindil), ich hatte nie die Gelegenheit, das TPM-Besitzerkennwort zu speichern. Ich starte dann in BIOS neu und TPM hat jetzt den aktivierten und besessenen Status. Diese bestätigten Fenster übernahmen tatsächlich das TPM-Eigentum. Es wurde dem Benutzer lediglich nie die Möglichkeit geboten, das Besitzerkennwort zu speichern. Ich frage mich auch, wo das Passwort gespeichert wurde, registrieren?

Interessanterweise hatte ich auf PC B die Möglichkeit, das Besitzerkennwort in AD zu speichern, abzulegen oder auszudrucken.

Mir scheint, das Problem hängt mit dem Build 1607 zusammen. Wenn ich irgendwie 1511 Installationsmedien bekommen kann, werde ich es auf jeden Fall auf PC A versuchen, um es zu bestätigen.

user37066
quelle
0

Hallo, ich habe meinen Kopf in die Wand geschlagen und am nächsten Morgen endlich eine Lösung gefunden. Folgen Sie einfach den unten aufgeführten Schritten.

Legen Sie Ihren TPM-Eigentümer fest, falls noch nicht geschehen. nicht sehr schwer. Gehe zur BIOS-Einstellung, aktiviere sie und gib die Erlaubnis, auch von Windows aus zu verwalten. Wenn Ihr Bit Locker aktiviert ist. Deaktivieren Sie die BitLocker-Laufwerkverschlüsselung und befolgen Sie die Schritte

CMD als Administrator ausführen ...

1 ---- reg HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / Namespace: \ root \ cimv2 \ Security \ MicrosoftTpm-Pfad Win32_Tpm = @ "SetPhysicalPresenceRequest 14 aufrufen 3 ---- shutdown -r -t 15 mit freundlicher Genehmigung des ursprünglichen Autors. und nach dem Neustart nur ausführen Schritt wird es reibungslos funktionieren. woooaahhh !!! alles erledigt.

ahmar
quelle